信息系统安全等级测评报告模版(试行)(公信安[2009]1487)Word文档格式.doc

1、后两位为公安机关或行业主管部门推荐的测评机构顺序号。第四组为本年度信息系统测评次数，由两位构成。例如02表示该信息系统本年度测评2次。信息系统等级测评基本信息表信息系统系统名称安全保护等级备案证明编号测评结论被测单位单位名称单位地址邮政编码联 系 人姓 名职务/职称所属部门办公电话移动电话电子邮件测评单位单位代码通信地址审核批准编 制 人（签名）编制日期审 核 人审核日期批 准 人批准日期注：单位代码由受理测评机构备案的公安机关给出。声明（声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。针对特殊情况下的测评工作，测评机构可在以下建议内容的基础上增加特殊声明

2、。）本报告是xxx信息系统的等级测评报告。本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。目 录报告摘要I1测评项目概述11.1测评目的11.2测评依据11.3测评过程11.4报告分发范围12被测信息系统情况

3、22.1承载的业务情况22.2网络结构22.3系统构成22.3.1业务应用软件22.3.2关键数据类别22.3.3主机/存储设备32.3.4网络互联设备32.3.5安全设备32.3.6安全相关人员32.3.7安全管理文档42.4安全环境42.5前次测评情况43等级测评范围与方法43.1测评指标43.1.1基本指标53.1.2特殊指标53.2测评对象53.2.1测评对象选择方法53.2.2测评对象选择结果53.3测评方法74单元测评84.1物理安全84.1.1结果记录84.1.2结果汇总84.1.3问题分析84.2网络安全94.2.1结果记录94.2.2结果汇总94.2.3问题分析94.3主机安

4、全94.3.1结果记录94.3.2结果汇总94.3.3问题分析94.4应用安全94.4.1结果记录94.4.2结果汇总94.4.3问题分析94.5数据安全及备份恢复94.5.1结果记录94.5.2结果汇总94.5.3问题分析94.6安全管理制度94.6.1结果记录94.6.2结果汇总94.6.3问题分析94.7安全管理机构94.7.1结果记录94.7.2结果汇总94.7.3问题分析94.8人员安全管理104.8.1结果记录104.8.2结果汇总104.8.3问题分析104.9系统建设管理104.9.1结果记录104.9.2结果汇总104.9.3问题分析104.10系统运维管理104.10.1结

5、果记录104.10.2结果汇总104.10.3问题分析105整体测评115.1安全控制间安全测评115.2层面间安全测评115.3区域间安全测评115.4系统结构安全测评116测评结果汇总127风险分析和评价138等级测评结论149安全建设整改建议15目录 -III-报告编号/项目名称2009版报告摘要（建议不超过800字）简要描述被测信息系统的名称、安全等级、承载的业务等基本情况。简要描述测评范围和主要内容。简要描述测评指标的符合性情况，给出测评结论（包括符合、基本符合和不符合）。简要描述测评中发现的主要问题和危害，并提出安全建设整改建议。摘要-I-1 测评项目概述1.1 测评目的1.2 测

6、评依据列出开展测评活动所依据的文件、标准和合同等。1.3 测评过程描述等级测评工作流程，包括测评工作流程图、各阶段完成的关键任务和工作的时间节点等内容。1.4 报告分发范围说明等级测评报告正本的份数与分发范围。2 被测信息系统情况参照备案信息简要描述信息系统。2.1 承载的业务情况描述信息系统承载的业务、应用等情况。2.2 网络结构给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构基本情况，包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。2.3 系统构成2.3.1 业务应用软件

7、以列表的形式给出被测信息系统中的业务应用软件（包括含中间件等应用平台软件），描述项目包括软件名称、主要功能简介。序号软件名称主要功能重要程度 依据信息系统安全等级测评过程指南判定2.3.2 关键数据类别以列表形式描述具有相近业务属性和安全需求的数据集合。数据类别所属业务应用主机/存储设备重要程度2.3.3 主机/存储设备以列表形式给出被测信息系统中的主机设备，描述主机设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。设备名称操作系统/数据库管理系统业务应用软件2.3.4 网络互联设备以列表形式给出被测信息系统中的网络互联设备。用 途2.3.5 安全设备以列表形式给出被

8、测信息系统中的安全设备。2.3.6 安全相关人员以列表形式给出与被测信息系统安全相关的人员情况。相关人员包括（但不限于）安全主管、系统建设负责人、系统运维负责人、网络（安全）管理员、主机（安全）管理员、数据库（安全）管理员、应用（安全）管理员、机房管理人员、资产管理员、业务操作员、安全审计人员等。姓名岗位/角色联系方式2.3.7 安全管理文档以列表形式给出与信息系统安全相关的文档，包括管理类文档、记录类文档和其他文档。文档名称主要内容2.4 安全环境描述被测信息系统的运行环境中与安全相关的部分，并以列表形式给出被测信息系统的威胁列表并赋值。威胁赋值是基于历史统计或者行业判断进行的，具体内容可参

9、考风险评估规范。威胁分（子）类描述威胁赋值2.5 前次测评情况简要描述前次等级测评发现的主要问题和测评结论。3 等级测评范围与方法3.1 测评指标测评指标包括基本指标和特殊指标两部分。3.1.1 基本指标依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级，选择基本要求中对应级别的安全要求作为等级测评的基本指标。鉴于信息系统的复杂性和特殊性（如某些信息系统未部署数据库服务器），基本指标中可能存在部分不适用项，可以在单元测评时进行识别。安全分类 安全分类对应基本要求中的物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等10个安全要求类别。安全子类 安全子类是对安全分类的进一步细化，在基本要求目录级别中对应安全分类的下一级目录。测评项数备注3.1.2 特殊指标结合行业和系统的实际，以列表形式给出基本要求未覆盖或者高于基本要求的安全要求。安全分类安全子类特殊要求描述3.2 测评对象3.2.1 测评对象选择方法描述测评对象的选择规则和方法。3.2.2 测评对象选择结果1） 机房机房名称物理位置2） 业务应用软件3） 主机（存储）操作系统4） 数据库管理系统5） 网络互联设备操作系统操作系统名称